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Abstract of DE 10126451 (A1) 
A method of activating or deactivating part (35,36) of 
data stored in a microcomputer system (30) involves 
encoding an individual microcomputer identifier (10) 
or filing a signature (15) in a specified memory zone 
(34) of the storage arrangement (32). With start-up 
of the computer (30), the identifier (10) signature is 
checked or the identifier (1 0) is decoded. The result 
of the check or decoding leads to activation or 
deactivation of at least part of the data An 
Independent claim is given for a microcomputer 
system with computing r ' 
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) Verfahren zum Aktivieren Oder Deaktivieren von in einer Speicheranordnung eines Mikrorechner-Systems 
abgelegten Daten 

) Die Erfindung betrifft ein Verfahren zum Aktivieren 
oder Deaktivieren zumindest eines Teils (35, 36) von in ei- 
ner Speicheranordnung (32) eines Mikrorechner-Systems 
(30) abgelegten Daten (33), insbesondere eines Teils (35, 
36) eines dort abgelegten Programms. Urn im Falle einer 
Manipulation von in der Speicheranordnung (32) abge- 
legten Daten (33) durch unbefugte Dritte eine Nutzung der 
manipulierten Daten (33) sicher und effektiv zu unterbin- 
den, wird ein Verfahren mit den nachfolgenden Verfah- 
rensschritten vorgeschlagen: 

- eine mikrorechnerindividuelle Kennung (10, 15) wird in 
einem vorgebbaren Speicherbereich (34) der Speicheran- 
ordnung (32) signiert oder verschlusselt abgelegt; 

- bei einem Hochfahren des Mikrorechner-Systems (30) 
wird die Signatur (15) der Kennung (10) uberpruft bzw. die 
Kennung (10) entschlusselt; und 

- in Abhangigkeit von dem Ergebnis der Oberprufung der 
Kennung (10) wird ein Teil der Daten (33) aktiviert bzw. de- 
aktiviert. 
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Beschreibung 

Stand der Technik 

[0001] Die vorliegende Erfindung betrifft ein Verfahren 
zum Aktivieren oder Deaktivieren zumindest eines Teils 
von in einer Speicheranordnung eines Mikrorechner-Sy- 
stems abgelegten Daten, insbesondere eines Teils eines dort 
abgelegten Programms. 

[0002] Die Erfindung betrifft auBerdem ein Mikrorechner- 
System mit einem Rechengerat, insbesondere einem Mikro- 
prozessor, und einer Speicheranordnung, in der Daten, ins- 
besondere ein Programm, abgelegt sind. 

Stand der Technik 

[0003] Aus dem Stand der Technik sind Verfahren zum 
Schutz von in einer Speicheranordnung eines Mikrorechner- 
Systems abgelegten Daten, insbesondere zum Schutz eines 
dort abgelegten Programms, vor einer Manipulation be- 
kannt. Derartige Verfahren werden bspw. zur Verhinderung 
einer unbefugten Manipulation eines in einem Steuergerat 
eines Kraftfahrzeugs abgelegten Steuerprogramms oder von 
dort abgelegten Daten eingesetzt. Das Steuerprogramm 
steuert oder regelt bestimmte Funktionen in dem Kraftfahr- 
zeug, bspw. eine Brennkraftmaschine, eine Fahrdynamikre- 
gelung, ein Antiblockiersystem (ABS) oder ein elektroni- 
schesLenksystem (Steer-by- Wire). Aufgrund einer Manipu- 
lation des Steuerprogramms kann es zu einem Defekt der 
gesteuerten oder geregelten Einheit des Kraftfahrzeugs 
kommen. Deshalb sollte eine Manipulation des Steuerpro- 
gramms oder der Daten nach Moghchkeit verhindert wer- 
den, zumindest aber sollte die Manipulation im Nachhinein 
erkennbar sein, damit die Ursache eines Defekts einer ge- 
steuerten oder geregelten Einheit festgestellt werden kann 
bzw. damit Gewahrleistungsanspriiche richtig zugeordnet 
werden konnen. 

[0004] Trotz der Gefahr einer Manipulation des Steuer- 
programms oder der Daten durch unbefugte Personen, ist es 
nicht sinnvoll, den Zugriff auf die Speicheranordnung des 
Steuergerats vollig zu verbieten. Um bspw. eine Neupro- 
grammierung des Steuergerats vomehmen zu konnen, muss 
es einem befugten Benutzerkreis moglich sein, auf die Spei- 
cheranordnung zuzugreifen. Es kann namlich erforderlich 
sein, von Zeit zu Zeit eine neue Version eines Steuerpro- 
gramms oder neue Parameter oder Grenzwerte in dem Steu- 
ergerat abzulegen, um bspw. Fehler in der Software zu be- 
seitigen oder neuen gesetzlichen Vorgaben Rechnung zu tra- 
gen. 

[0005] Bei Kraftfahrzeugsteuergeraten wird zwischen Se- 
riengeraten und Applikationsgeraten unterschieden. Ubli- 
cherweise werden Steuergerate nach der Fertigung als Seri- 
engerate ausgeliefert. Bei Seriengeraten sind Mechanismen 
zum Uberpriifen einer Manipulation der in der Speicheran- 
ordnung des Steuergerats abgelegten Daten aktiviert. Mani- 
pulierte Daten werden von diesen Mechanismen iiblicher- 
weise erkannt und die Daten konnen gesperrt werden. Die 
Mechanismen konnen ganz unterschiedlich ausgebildet 
sein. Aus dem Stand der Technik sind verschiedene Priifme- 
chanismen bekannt. In bestimmten Situationen, insbeson- 
dere wahrend der Entwicklungs- und Erprobungsphase der 
Steuergerate, ist es erforderlich, die Priifmechanismen zu 
deaktivieren, damit verschiedene Daten schnell und einfach 
in der Speicheranordnung abgelegt werden konnen. Ein 
Steuergerat mit deaktivierten Priifmechanismen wird als ein 
Applikationsgerat bezeichnet. 

[0006] Um eine liicklose Testabdeckung der in der Spei- 
cheranordnung abgelegten Daten sicherstellen zu konnen, 
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miissen im Serienfall und im Applikationsfall die gleichen 
Daten, insbesondere muss das gleiche Steuerprogramm, in 
der Speicheranordnung des Steuergerats abgelegt sein. Des- 
halb muss es moglich sein, ein Steuergerat von einem Seri- 

5 enfall in einen Applikationsfall umschalten zu konnen, ohne 
andere Daten in die Speicheranordnung laden zu miissen. 
Ein Umschalten vom Applikationsfall zuriick in den Serien- 
fall ist nicht erwiinscht und sollte nach Moghchkeit sogar 
unmoglich sein, um zu verhindem, dass Steuergerate in Um- 

o lauf sind, deren Steuerprogramm von dem Hersteller der 
Steuergerate nicht getestet und genehmigt wurde. 
[0007] Nach dem Stand der Technik sind Applikationsge- 
rate durch einen Eintrag in einem geheimen nicht-fliichtigen 
Speicherbereich der Speicheranordnung des Steuergerats 

5 gekennzeichnet. Der geheime Speicherbereich befindet sich 
auSerhalb des im Rahmen einer Neuprogrammierung des 
Steuergerats zu programmierenden Speicherbereichs der 
Speicheranordnung. Je nach dem, ob es sich um ein Serien- 
gerat oder ein Applikationsgerat handelt, wird der geheime 

0 Speicherbereich im AnschluB an eine Erstprogrammierung 
der Speicheranordnung bzw. durch ein entsprechendes Ver- 
fahren angestoBen beim Hochfahren des Steuergerats mit ei- 
nem entsprechenden Eintrag programmiert. 
[0008] Bei einem nachfolgenden Hochfahren des Steuer- 

5 gerats wird dann nur noch der Eintrag in dem geheimen 
Speicherbereich iiberpruft und in Abhangigkeit von dem 
Eintrag zwischen einem Serienfall und einem Applikations- 
fall umgeschaltet, d. h. die Priifmechanismen werden akti- 
viert bzw. deaktiviert. Wenn in dem geheimen Speicherbe- 

0 reich kein Eintrag vorhanden ist, wird von einem Serienfall 
ausgegangenen und die Priifmechanismen werden aktiviert. 
Bei den bekannten Steuergeraten kann also durch Beschrei- 
ben des geheimen Speicherbereichs mit einem entsprechen- 
den Eintrag von einem Serienfall in einen Applikationsfall 

5 umgeschaltet werden. 
[0009] Der Umschaltvorgang von einem Serienfall in ei- 
nen Applikationsfall durch Beschreiben des geheimen Spei- 
cherbereichs kann bei den bekannten Steuergeraten jedoch 
relativ problemlos aufgezeichnet werden. Von besonderem 

o Interesse ist dabei der Eintrag, der in dem geheimen Spei- 
cherbereich eines Applikationsgerats abgelegt ist. Bei den 
aus dem Stand der Technik bekannten Verfahren zum Akti- 
vieren oder Deaktivieren von in einer Speicheranordnung 
eines Mikrorechner-Systems abgelegten Daten kann der 

5 Eintrag aus einem Applikationsgerat ausgelesen und dazu 
genutzt werden, weitere Steuergerate in den Applikations- 
fall mit deaktivierten Prufmechanismen umzuschalten. Auf 
diesen manipulierten Applikationsgeraten konnen manipu- 
lierte Daten abgelegt und die manipulierten Daten dann aus- 

3 gefuhrt bzw. genutzt werden. Die manipulierten Daten kon- 
nen nicht zuverlassig vor einer Nutzung geschiitzt werden. 
[0010] Deshalb ist es eine Aufgabe der vorliegenden Er- 
findung, im Falle einer Manipulation von in der Speicheran- 
ordnung abgelegten Daten durch unbefugte Dritte, eine Nut- 

5 zung der manipulierten Daten sicher und effektiv zu unter- 
binden. 

[0011] Zur Losung dieser Aufgabe schlagt die Erfindung 
ausgehend von dem Verfahren der eingangs genannten Art 
die nachfolgenden Verfahrensschritte von 

) 

- eine mikrorechnerindividuelle Kennung wird ver- 
schliisselt oder eine Signatur einer rnikrorechnerindivi- 
duellen Kennung wird in einem vorgebbaren Speicher- 
bereich der Speicheranordnung abgelegt; 

> - bei einem Hochfahren des Mikrorechner-Systems 
• wird die Signatur der Kennung uberpriift bzw. die Ken- 
nung entschliisselt; und 

- in Abhangigkeit von dem Ergebnis der Uberpriifung 
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der Signatur bzw. von der entschliisselten Kennung Weise mit moglichst wenig Speicherplatz moglichst viele 
wird zumindest ein Teil der Daten aktiviert oder deak- Programmfunktionen alctivieren bzw. deaktivieren zu kon- 

[0017] GemaB einer bevorzugten Ausfiihrungsform der 
5 vorliegenden Erfindung wird vorgeschlagen, dass anhand 

Vorteile der Erfindung eines lediglich einem beschrankten Personenkreis zugangli- 
chen privaten Schliissels die inikrorechnerindividuelle Ken- 

[0012] GemaB der vorliegenden Erfindung wird also ein nung signiert oder verschliisselt wird und anhand eines frei 

Eintrag in einen Speicherbereich der Speicheranordnung si- zuganglichen offentlichen Schliissei die Signatur der Ken- 

gniert bzw. verschliisselt vorgenommen. Der Eintrag kann to nung uberpruft bzw. die Kennung entschliisselt wird. Ge- 

in einen beliebigen Speicherbereich der Speicheranordnung maB dieser Ausfiihrungsform wird die Kennung nach einem 

abgelegt werden. Das Ablegen des verschliisselten Eintrags asymmetrischen Verschliisselungsverfahren signiert bzw. 

kann im AnschluB an eine Neu- oder Umprogrammierung verschliisselt. Das asymmetrische Verschliisselungsverfah- 

erfolgen oder durch ein entsprechendes Verfahren angesto- ren wird auch als Public-Key- Verschliisselungsverfahren 

Ben werden. Die Sicherheit des erfindungsgemaBen Verfah- 15 bezeichnet. Asymmetrische Verschliisselungsverfahren sind 

reus ist vor allem durch die Signierung oder Verschliisse- bspw. RSA (benannt nach den Entwicklern dieses Verfah- 

lung des Eintrags mit einem geheimen Schliissei und nicht rens Ronald Rivest, Adi Shamir und Leonard Adleman; Ver- 

durch die Geheimhaltung der Adressedes Speicherbereichs schltisseln durch modulares Potenzieren c = m° mod n), 

gegeben. Der Speicherbereich sollte bei einer Neuprogram- LUC (a'hnlich RSA; Verschliisseln durch Bilden der Lucas- 

mierung der Speicheranordnung zwar geloscht, aber nicht 20 Folge) oder MNLN (Muller, Nobauer, Lidl, Nobauer; wie 

mit den neuen Daten beschrieben werden. Das Mikrorech- RSA, aber Polynom x e wird durch Dickson-Polynom er- 

ner-System ist bspw. als eine Steuergerat zum Steuern und/ setzt) (vgl. http:/ / www.uni-mainz.de/-pommeren/DSVor- 

oderRegeln von Kraftfahrzeugfunkdonen ausgebildet. lesung/KryptoBasis/asymmetrisch.html). 

[0013] Beim Hochfahren des Mikrorechner-Systems wird [0018] Bei dem asymmetrischen Verschliisselungsverfah- 

die Signatur des Eintrags Uberpruft bzw. der Eintrag ent- 25 ren wird bspw. zum Signieren eines Steuerprogramms fur 

schlusselt. Wenn kein Eintrag in dem Speicherbereich vor- ein Steuergerat eines Kraftfahrzeugs aus dem zu signieren- 

handen ist oder die Uberprufung der Signatur des dort abge- den Steuerprogramm und/oder den zu signierenden Daten 

legten Eintrags oder die Entschliisselung des Eintrags fehl- mit Hilfe einer Hash-Funktion ein Hash-Wert gebildet. Ein 

geschlagen ist, wird von einem SerienfaO ausgegangen und Hash-Wert ist eine Art Priifsumme mit besonderen Eigen- 

die Priifmechanismen werden aktiviert. Wenn dagegen die 30 schaften, die von der verwendeten Hash-Funktion abhangig 

Uberprufung der Signatur des in dem Speicherbereich abge- sind. Der Hash-Wert wird mit Hilfe eines nicht frei zugang- 

legten Eintrags oder die Entschliisselung des Eintrags er- lichen privaten Schliissels verschliisselt. Der verschlusselte 

folgreich war, wird von einem Applikationsfall ausgegan- Hash-Wert wird als Signatur bezeichnet. Die Signatur wird 

gen und die Priifmechanismen werden deaktiviert. Erfin- an das zu signierende Programm und/oder die zu signieren- 

dungsgemaB kann also durch Ablegen eines entsprechenden 35 den Daten angebangt und zusammen mit diesen an das 

verschliisselten Eintrags in einen vorgebbaren Speicherbe- Kraftfahrzeugsteuergerat iibertragen und dort in der Spei- 

reich der Speicheranordnung von einem Seriengerat auf ein cheranordnung gespeichert. 

Applikationsgerat umgeschaltet werden. [0019] In dem Steuergerat wird die Signatur mit Hilfe ei- 
[0014] Mit dem erfindungsgemaBen Verfahren kann ein nes frei zuganglichen offentlichen Schliissels wieder ent- 
Steuergerat nicht nur zwischen Serienfall und Applikations- 40 schlusselt. Dadurch erhalt man den entschliisselten Hash- 
fall umgeschaltet werden. Es ist auch denkbar, iiber den ver- Wert. AuBerdem wird mit Hilfe derselben Hash-Funkdon, 
schliisselten Eintrag in den Speicherbereich beliebige Teile die auch im Rahmen der Verschliisselung zum Ermitteln des 
der Daten und damit beliebige Funkdonen eines Programms Hash-Wertes eingesetzt wurde, aus dem empfangenen Steu- 
zu aktivieren bzw. zu deaktivieren. Dadurch ist es bspw. erprogramm und/oder den empfangenen Daten ein weiterer 
Kraftfahrzeugherstellern moglich, durch einen gezielten 45 Hash-Wert ermittelt. AnschlieBend wird uberpruft, ob der 
Eingriff in das Steuerprogramm eines Kraftfahrzeugsteuer- entschlusselte Hash-Wert gleich dem weiteren Hash-Wert 
gerats verschiedene Kraftfahrzeugfunkdonen, z. B. ver- ist Falls dem so ist, wird die Ausfiihrung des ubertragenen 
schiedene Leistungen der Brennkraftmaschine, zu realisie- Steuerprogramms bzw. die Nutzung der ubertragenen Daten 
ren. Mit der vorliegenden Erfindung konnen also beliebige freigegeben. Anderenfalls wird die Ausfiihrung des Steuer- 
Funktionen eines Programms iiber Softwareschalter, die nur 50 programms bzw. die Nutzung der Daten gesperrt. 
von befugten Personen betatigt werden konnen, akdviert [0020] Vorteilhafterweise wird die Kennung in einem 
bzw. deaktiviert werden. Speicherbereich der Speicheranordnung abgelegt, der wah- 
[0015] GemaB einer vorteilhaften Weiterbildung der vor- rend der Nutzung der Daten nicht verandert wird. Auf den 
liegenden Erfindung wird vorgeschlagen, dass zum Aktivie- Speicherbereich wird also wahrend der Ausfiihrung des Pro- 
ren oder Deaktivieren unterschiedlicher Teile von Daten 55 gramms weder lesend noch schreibend zugegriffen. 
verschiedene Kennungen in dem Speicherbereich der Spei- [0021] Vorzugsweise wird die Kennung in einem Spei- 
cheranordnung abgelegt werden. Die verschiedenen Funk- cherbereich abgelegt, der im Rahmen einer Neuprogram- 
tionen eines Programms werden also fiber den Inhalt des mierung der Speicheranordnung geloscht wird. Im An- 
Speicherbereichs aktiviert bzw. deaktiviert. schluss an eine Neuprogrammierung muss also die mikro- 
[0016] GemaB einer anderen vorteilhaften Weiterbildung 60 rechnerindividuelle Kennung in dem vorgebbaren Speicher- 
der vorliegenden Erfindung wird vorgeschlagen, dass zum bereich der Speicheranordnung signiert oder verschliisselt 
Aktivieren oder Deaktivieren unterschiedlicher Teile von abgelegt werden. Dazu muss einerseits die individuelle 
Daten eine Kennung in verschiedene Speicherbereiche der Kennung des Mikrorechner-Systems und andererseits auch 
Speicheranordnung abgelegt wird. Die verschiedenen Funk- der richtige Verschliisselungsalgorithmus und der richtige 
tionen eines Programms werden also iiber den Speicherbe- 65 Schliissei bekannt sein. Eine Ausfiihrung oder Nutzung der 
reich aktiviert bzw. deaktiviert, in dem die Kennung abge- neu prograinmierten Daten ist also nur dann nicht gesperrt, 
legt ist. Es ist auch denkbar, verschiedene Kennungen in wenn die richtige Kennung mit dem richtigen Schliissei und 
verschiedenen Speicherbereichen abzulegen, um auf diese Algorithmus signiert oder verschliisselt in dem Speicherbe- 
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reich der Speicheranordnung abgelegt worden ist. Programmspeicher bzw. konnen die darauf abgelegten Da- 

[0022] GemaB einer bevorzugten Ausfuhrungsform der ten nicht von auBen manipuliert werden, wodurch das Mi- 

vorliegenden Erflndung wird vorgeschlagen, dass bei jedem krorechner-System zusatzlich gegen Manipulation der auf 

Hochfabren des Mikrorechner-Systems die Signatur der der Speicheranordnung abgelegten Daten geschiitzl ist. 

Kennung uberpriift bzw. die Kennung entschliisselt wird. 5 

[0023] Vorteilbafterweise wird eine dem Mikrorechner- Zeichnungen 
System zugeordnete Seriennummer, insbesondere eine dem 

Rechengerat des Mikrorechner-Systems zugeordnete Serf- [0031] Weitere Merkmale, Anwendungsmoglichkeiten 
ennummer, in dem vorgebbaren Speicherbereich der Spei- und Vorteile der Erflndung ergeben sich aus der nachfolgen- 
cheranordnung signiert oder verschlusselt abgelegt. to den Beschreibung von Ausfflhrungsbeispielen der Erfin- 
[0024] GemaB einer bevorzugten Ausfuhrungform der dung, die in der Zeichnung dargestellt sind. Dabei bilden 
vorliegenden Erflndung wird vorgeschlagen, dass in dem alle beschriebenen oder dargestellten Merkmale fflr sich 
Mikrorechner-System Mechanismen zum Uberprufen einer oder in beliebiger Kombination den Gegenstand der Erfin- 
Manipulation der in der Speicheranordnung abgelegten Da- dung, unabhiingig von ihrer Zusammenfassung in den Pa- 
ten aktiviert werden, falls in dem Speicherbereich der Spei- 15 tentanspriichen oder deren Riickbeziehung sowie unabhan- 
cheranordnung keine Kennung abgelegt ist oder falls die gig von ihrer Formulierung bzw. Darstellung in der Be- 
Uberpriifung der Signatur der dort abgelegten Kennung oder schreibung bzw. in der Zeichnung. Es zeigen: 
die Entschliisselung der dort abgelegten Kennung beim [0032] Fig. 1 ein Ablaufdiagramm eines erfindungsgema- 
Hochfahren des Mikrorechner-Systems scheitert. In diesen Ben Verfahrens gemaB einer bevorzugten Ausfuhrungsform; 
Fallen wird also ein als Kraftfahrzeugsteuergerat ausgebil- 20 [0033] Fig. 2 ein weiteres Ablaufdiagramm des Verfah- 
detes Mikrorechner-System in den Serienfall geschaltet. rens aus Fig. 1; und 

Falls die vorgesehenen Prufmechanismen eine Manipula- [0034] Fig. 3 ein erfindungsgemiifies Mikrorechner-Sy- 

tion der Daten erkennen, wird die Ausfuhrung oder Nutzung stem gemaB einer bevorzugten Ausfuhrungsform. 
der neu programmierten Daten blockiert. 

[0025] GemaB einer weiteren bevorzugten Ausfuhrung- 25 Beschreibung der Ausfiihrungsbeispiele 
m der vorliegenden Erflndung wird vorgeschlagen, dass 



in dem Mikrorechner-System Mechanismen zum Uberprii- [0035] Gegenstand der vorliegenden Erflndung ist ein 
fen einer Manipulation der in der Speicheranordnung abge- Verfahren zum Aktivieren oder Deaktivieren zumindest ei- 
legten Daten deaktiviert werden, falls die Uberprufung der nes Teils von Daten, die in einer Speicheranordnung eines 
Signatur der in dem Speicherbereich der Speicheranordnung 30 Mikrorechner-Systems abgelegt sind. Das Mikrorechner- 
abgelegten Kennung oder die Entschliisselung der dort ab- System ist bspw. als ein Steuergerat eines Kraftfahrzeugs 
gelegten Kennung beim Hocbfahren des Mikrorechner-Sy- zur Steuerung und/oder Regelung bestimmter Kraftfahr- 
stems erfolgreich ist. In diesem Fall wird also ein als Kraft- zeugfunktionen ausgebildet. Die Daten sind bspw. als ein 
fahrzeugsteuergerat ausgebildetes Mikrorechner-System in Steuerprogramm, als Grenzwerte oder als Parameterwerte 
den Applikationsfall geschaltet. 35 ausgebildet 

[0026] Als eine weitere Losung der Aufgabe der vorlie- [0036] Durch aktivieren bzw. deaktivieren von Teilen des 
genden Erflndung wird ausgehend von dem Mikrorechner- Steuerprogramms konnen verschiedene Funktionen des 
System der eingangs genannten Art vorgeschlagen, dass Steuergerats ein- bzw. ausgeschaltet werden. Insbesondere 

ist daran gedacht, durch Aktivieren bzw. Deaktivieren von 

- in einem vorgebbaren Speicherbereich der Speicher- 40 Teilen des Steuerprogramms das Steuergerat von einem Se- 
anordnung eine mikrorechnerindividuelle Kennung si- rienfall in einen Applikationsfall zu schalten. Bei Serienge- 
gniert oder verschlusselt abgelegt ist; raten sind Mechanismen zum Uberprufen einer Manipula- 

- Mittel zum Uberprufen der Signatur der Kennung tion der in einer Speicheranordnung des Steuergerats abge- 
bzw. zum Entschlusseln der Kennung bei einem Hoch- legten Daten aktiviert. Manipulierte Daten werden von die- 
fahren des Mikrorechner-Systems; und 45 sen Mechanismen erkannt und die Daten konnen gesperrt 

- Mittel zum Aktiveren oder Deaktivieren zumindest werden. Die Mechanismen konnen ganz unterschiedlich 
eines Teils der in der Speicheranordnung des Mikro- ausgebildet sein. Aus dem Stand der Technik sind viele un- 
rechner-Systems abgelegten Daten in Abhangigkeit terscMea^chePrufmechanismenbekannt.InbestimmtenSi- 
von dem Ergebnis der Uberpriifuug der Signatur bzw. tuationen, insbesondere wahrend der Entwicklungs- und Er- 
von der entschliisselten Kennung 50 probungsphase der Steuergerate, ist es erforderlich, die 

Priifrnechanismen zu deaktivieren, damit verschiedene Da- 
vorgesehen sind. ten schnell und einfach in der Speicheranordnung abgelegt 

[0027] GemaB einer vorteilhaften Weiterbildung der vor- werden konnen. Ein Steuergerat mit deaktivierten Priifme- 
tiegenden Erflndung wird vorgeschlagen, dass das Mikro- cbanismen wird als Applikationsgerat bezeichnet. 
rechner-System als ein Steuergerat fur ein Kraftfahrzeug zur 55 [0037] Das in Fig. 1 dargestellte erfindungsgemaBe Ver- 
Steuerung und/oder Regelung von Kraftfahrzeugfunktionen fahren beginnt in einem Funktionsblock 1. In einem Funk- 
ausgebildet ist. n'onsblock 2 wird eine mikrorechnerindividuelle Kennung 

[0028] GemaB einer bevorzugten Ausfuhrungsform der mit Hilfe eines privaten Schliissels nach einem asymmetri- 
vorliegenden Erflndung wird vorgeschlagen, dass das Mi- schen Verschliisselungsverfahren signiert oder verschliis- 
krorechner-System Mittel zur Ausfuhrung des erfindungsge- 60 selt. Die signierte oder verschliisselte Kennung wird als Zer- 
maBen Verfahrens aufweist. tifikat bezeichnet. Die Kennung ist bspw. eine Seriennum- 

[0029] Vorteilhafterweise ist in der Speicheranordnung mer des Steuergerats oder eines Rechengerats, insbesondere 
ein Computerprogramm abgelegt, das auf dem Rechengerat eines Mikroprozessors, des Steuergerats. Die Verschliisse- 
ablauffahig und zur Ausfuhrung des erfindungsgemaBen lung der Kennung wird an Hand der Fig. 2 im Detail be- 
Verfahrens geeignet ist. 65 schrieben. In einem Funktionsblock 3 wird bei einem Hoch- 

[0030] Vorzugsweise ist die Speicheranordnung auf dem fahren des Steuergerats mit Hilfe eines offentlichen Schlus- 
gleichen Halbleiterbauelement ausgebildet wie das Rechen- sels die Signatur der Kennung gepriift bzw. die Kennung 
genit. Bei einem solchen sog. On-Chip-Speicher kann der entschliisselt. In einem Abfrageblock 4 wird dann uberpruft, 
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ob die Signatur der Kennung in Ordnung ist oder ob die ent- nung 10 wird in dem Steuergerat uber das Schaltelement 22 
schiisselte Kennung mit der tatsachlichen Kennung des Mi- dann zumindest ein Teil der in der Speicheranordnung abge- 
krorechner-Systems iibereinstimmt. Falls das der Fall ist, ist legten Daten aktiviert oder deaktiviert. 
das Steuergerat ein Applikationsgerat, und in einem Funk- [0042] In Fig. 3 ist ein erflndungsgemaBes Mikrorechner- 
tionsblock S werden samtliche Priifmechanismen deakti- 5 System in seiner Gesamtheit mit dem Bezugszeichen 30 be- 
viert. Falls jedoch in dem Speicherbereich keine Kennung zeichnet. Das Mikrorechner-System 30 ist als ein Steuerge- 
vorhanden ist, die Signatur fehlerhaft oder die entschliisselte rat fur ein Kraftfahrzeug zur Steuerung und/oder Regelung 
Kennung nicht mit der tatsachlichen Kennung iiberein- von Kraftfahrzeugfunktionen ausgebildet. Das Steuergerat 
stimmt, ist das Steuergerat ein Seriengerat, und in einem 30 umfasst ein Rechengerat31, das insbesondere als ein Mi- 
Funktionsblock 6 werden die Priifmechanismen aktiviert. to kroprozessor ausgebildet ist, und eine Speicheranordnung 
Bei einer zukiinftigen Ausfuhrung oder Nutzung der in der 32, in der verschiedene Daten 33, insbesondere ein Steuer- 
Speicheranordnung abgelegten Daten werden die Daten auf programm, Grenzwerte oder Parameterwerte, abgelegt sind. 
eine Manipulation bin untersucht. In der Regel werden ma- Die Speicheranordnung 32 ist auf dem gleichen Halbleiter- 
nipulierte Daten erkannt und blockiert, so dass eine Ausfiih- bauelement ausgebildet wie der Mikroprozessor 31 (On- 
rung oder Nutzung nicht mehr mdglich ist. In den Funk- 15 Chip-Speicher). In einem vorgebbaren Speicherbereich 34 
tionsblocken 3 bis 6 wird also in Abhangigkeit von der Ken- der Speicheranordnung 32 ist eine mikrorechnerindividuelle 
nung ein Teil des Steuerprogramms aktiviert bzw. deakti- Kennung 10, insbesondere eine Seriennummer des Mikro- 
viert. In einem Funktionsblock 7 ist das erfindungsgemaSe prozessors 31 (CPU-Seriennummer), signiert oder ver- 
Verfahren dann beendet. schliisselt abgelegt. Der Speicherbereich 34 wird im Rah- 
[0038] In Fig. 2 ist ein weiteres Ablaufdiagramm des Ver- 20 men einer Neuprogrammierung der Speicheranordnung 32 
fahrens aus Fig. 1 dargestellt, wobei insbesondere die Si- automatisch geloscht, jedoch nicht mit neuen Daten be- 
gnierung bzw. die Verschliisselung der Daten und die Uber- schrieben. Wahrend der Nutzung der Daten 33, d. h. wah- 
priifung der Signatur bzw. die Entschliisselung der Daten im rend der Ausfuhrung des Steuerprogramms, wird der Inhalt 
Detail dargestellt ist Aus einer Seriennummer 10 des Mi- des Speicherbereichs 34 nicht verandert. 
kroprozessors des Steuergerats wird in einem Funktions- 25 [0043] Beim Hochfahren des Steuergerats 30 wird die Si- 
block 11 mit Hilfe einer Hash-Funktion ein sog. Hash-Wert gnatur 15 der Kennung 10 uberpriift bzw. die Kennung 10 
12 gebildet. Der Hash-Wert 12 wird in einem Funktions- entschliisselt. Dazu sind in dem Steuergerat 30 geeignete 
block 13 mit Hilfe des privaten Schliissels 14 verschliisselt. Mittel vorgesehen, die bei jedem Hochfahren des Steuerge- 
Der verschliisselte Hash-Wert wird als Signatur 15 bezeich- rats 30 den Inhalt des Speicherbereichs 34 uberpriifen. In 
net. Die Signatur 15 wird an die Seriennummer 10 ange- 30 Abhangigkeit von dem Inhalt des Speicherbereichs 34 wer- 
hangt, beide werden uber eine geeignete DatenschnittsteDe den durch entsprechende Mittel des Steuergerats 30 be- 
an das Steuergerat eines Kraftfahrzeugs iibertragen und dort stimmte Teile 35, 36 des Steuerprogramms 33 aktiviert bzw. 
in einem vorgegebenen Speicherbereich der Speicheranord- deaktiviert. Die Teile 35, 36 sind bspw. Priifmechanismen, 
nung abgelegt. durch die die ubrigen in der Speicheranordnung 34 abgeleg- 
[0039] In dem Steuergerat wird die Seriennummer 10 von 35 ten Daten 33 auf eine Manipulation hin gepriift werden kon- 
der Signatur 15 getrennt. Die Signatur 15 wird in einem nen. 

Funktionsblock 16 mit Hilfe eines offendichen Schliissels [0044] Falls in dem Speicherbereich 34 keine Kennung 

17 entschliisselt. Der entschliisselte Hash-Wert ist mit dem 10, 15 abgelegt ist oder falls die Uberprufung der Signatur 
Bezugszeichen 18 bezeichnet. In einem Funktionsblock 19 15 oder das Entschlusseln der Kennung 10 ergibl, dass die 
wird aus der Seriennummer 10 anhand derselben Hash- 40 Kennung 10, 15 mit emem falschen privaten Schlussel 14 si- 
Funktion, wie sie auch in dem Funktionsblock 11 eingesetzt gniert oder verschliisselt worden ist, wird das Steuergerat 30 
wurde, ein weiterer Hash-Wert 20 ermittelt. In einem Abfra- in einen Serienfall geschaltet, indem die Teile 35, 36 des 
geblock 21 wird uberpriift, ob der entschliisselte Hash-Wert Steuerprogramms 33 aktiviert werden. Anderenfalls wird 

18 gleich dem ermittelten Hash-Wert 20 ist, d. h. ob die ent- das Steuergerat 30 in einen Applikationsfall geschaltet, in- 
schliisselte Seriennummer gleich der tatsachlichen Serinen- 45 dem die Teile 35, 36 des Steuerprogramms 33 deaktiviert 
nummer 10 des Mikroprozessors des Steuergerats ist. Falls werden. 

das der Fall ist, wird das Steuergerat in den Applikations- [0045] Bei der Auslieferung des Steuergerats 30 ist der 

falls geschaltet. Dazu werden Priifmechanismen 35, 36 zum Speicherbereich 34 der Speicheranordnung 32 leer. Es han- 

Uberpriifen der in der Speicheranordnung abgelegten Daten delt sich also um ein Seriengerat mit aktiven Priifmechanis- 

auf Manipulation mit Hilfe eines von dem Abfrageblock 21 50 men. Falls das Seriengerat in ein Applikationsgerat mit in- 

angesteuerten Schaltelements 22 deaktiviert. Anderenfalls aktiven Priifmechanismen umgeschaltet werden soli, wird 

wird das Steuergerat in den Serienfall geschaltet, indem die die Seriennnummer des Mikroprozessors 31 des Steuerge- 

Priifmechanismen 35, 36 mit Hilfe des Schaltelements 22 rats 30 signiert oder verschliisselt in dem Speicherbereich 

aktiviert. 34 abgelegt. Dazu ist der richtige private Schlussel 14 erfor- 

[0040] Der private Schlussel 14 steht nur einem be- 55 derlich, der nur einem beschrankten Personenkreis zugang- 

schrankten Personenkreis zur Verfiigung. Zur Erhohung der lich ist. 

Sicherheit ist es denkbar, die privaten Schlussel 14 in einem [0046] Vorzugsweise ist in der Speicheranordnung 32 ein 

Trust-Centre zu verwalten und die Seriennummer 10 mit Computerprogramm abgelegt, das auf dem Rechengerat 31 

Hilfe eines Signatur-Servers des Trust-Centres zu signieren. ablauffahig und zur Ausfuhrung der nachfolgenden Verfah- 

Ein entsprechendes Verfahren ist in einer separaten Patent- 60 rensschritte geeignet ist: 
anmeldung DE 101 23 169 der gleichen Anmelderin mit 

Anmeldetag 12. Mai 2001 beschrieben. Auf den Inhalt die- - Ablegen der signierten oder verschliisselten mikro- 

ser Anmeldung wird ausdriicklich Bezug genommen. rechnerindividuellen Kennung 10, 15 in dem vorgeb- 

[0041] Alternativ kann die Kennung 10 mit Hilfe des pri- baren Speicherbereich 34 der Speicheranordnung 32; 

vaten Schliissels 14 auch direkt verschliisselt werden. Die 65 - Uberpriifen der Signatur 15 der Kennung 10 bzw. 

verschliisselte Kennung wird an das Steuergerat iibertragen Entschlusseln der Kennung 10 beim Hochfahren des 

und dort mit Hilfe des offentlichen Schlussel 17 direkt ent- Mikrorechner-Systems 30; und 

schliisselt. In Abhangigkeit von der entschliisselten Ken- - Aktivieren bzw. Deaktivieren zumindest eines Teils 
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der in der Speicheranordnung 32 abgelegten Daten in 
Abhangigkeit von dem Inhalt des Speicherbereichs 34. 

[0047] Die in der Speicheranordnung 32 abgelegten Daten 
werden also in Abhangigkeit von dem Ergebnis der Uber- 5 
prufung der Signatur 15 bzw. in Abhangigkeit von der ent- 
schliisselten Kennung 10 aktiviert bzw. deaktiviert. 

Patentanspriiche 

10 

1. Verfahren zum Aktivieren oder Deaktivieren zu- 
mindest eines Teils (35, 36) von in einer Speicheran- 
ordnung (32) eines Mikrorechner-Systems (30) abge- 
legten Daten (33), insbesondere eines Teils (35, 36) ei- 
nes dort abgelegten Programms, gekcnnzeichnct 15 
durch die nachfolgenden Verfahrensschritte: 

- eine mikrorechnerindividuelle Kennung (10) 
wird verschliisselt oder eine Signatur (15) einer 
mikrorechnerindividuellen Kennung (10) wird in 
einem vorgebbaren Speicherbereich (34) der 20 
Speicheranordnung (32) abgelegt; 

- bei einem Hochfahren des Mikrorechner-Sy- 
stems (30) wird die Signatur (15) der Kennung 
(10) Uberpriift bzw. die Kennung (10) entschliis- 
selt; und 25 

- in Abhangigkeit von dem Ergebnis der Uber- 
priifung der Signatur (15) bzw. von der entschliis- 
selten Kennung (10) wird zumindest ein Teil der 
Daten (33) aktiviert oder deaktiviert. 

2. Verfahren nach Anspruch 1, dadurch gekennzeich- 30 
net, dass zum Aktivieren oder Deaktivieren unter- 
schiedlicher Teile (35, 36) von Daten (33) verschiedene 
Kennungen in dem Speicherbereich (34) der Speicher- 
anordnung (32) abgelegt werden. 

3. Verfahren nach Anspruch 1 oder 2, dadurch gekenn- 35 
zeichnet, dass zum Aktivieren oder Deaktivieren unter- 
schiedlicher Teile (35, 36) von Daten (33) eine Ken- 
nung (10) in verschiedene Speicherbereiche (34) der 
Speicheranordnung (32) abgelegt wird. 

4. Verfahren nach einem der Anspriiche 1 bis 3, da- 40 
durch gekennzeichnet, dass anhand eines lediglich ei- 
nem beschrankten Personenkreis zuganglichen priva- 
ten Schlussels (14) die mikrorechnerindividuelle Ken- 
nung (10, 15) signiert oder verschliisselt wird und an- 
hand eines frei zuganglichen offentlichen Schlussel 45 
(17) die Signatur (15) der Kennung (10) uberpriift bzw. 
die Kennung (10) entschliisselt wird. 

5. Verfahren nach einem der Anspruche 1 bis 4, da- 
durch gekennzeichnet, dass die Kennung (10, 15) in ei- 
nem Speicherbereich (34) der Speicheranordnung (32) 50 
abgelegt wird, der wahrend der Nutzung der Daten (33) 
nicht verandert wird. 

6. Verfahren nach einem der Anspruche 1 bis 5, da- 
durch gekennzeichnet, dass die Kennung (10, 15) in ei- 
nem Speicherbereich (34) abgelegt wird, der im Rah- 55 
men einer Neuprogrammierung der Speicheranord- 
nung (32) geloscht wird. 

7. Verfahren nach einem der Anspruche 1 bis 6, da- 
durch gekennzeichnet, dass bei jedem Hochfahren des 
Mikrorechner-Systems (30) die Signatur (15) der Ken- 60 
nung (10) uberpriift bzw. die Kennung (10) entschliis- 
selt wird. 

8. Verfahren nach einem der Anspriiche 1 bis 7, da- 
durch gekennzeichnet, dass eine dem Mikrorechner- 
System (30) zugeordnete Seriennummer, insbesondere 65 
eine dem Rechengerat (31) des Mikrorechner-Systems 
(30) zugeordnete Seriennummer, in dem vorgebbaren 
Speicherbereich (34) der Speicheranordnung (32) si- 



gniert oder verschliisselt abgelegt wird. 

9. Verfahren nach einem der Anspruche 1 bis 8, da- 
durch gekennzeichnet, dass in dem Mikrorechner-Sy- 
slem (30) Mechanismen zum Uberpriifen einer Mani- 
pulation der in der Speicheranordnung (32) abgelegten 
Daten (33) aktiviert werden, falls in dem Speicherbe- 
reich (34) der Speicheranordnung (32) keine Kennung 
(10, 15) abgelegt ist oder falls die Uberpriifung der Si- 
gnatur (15) der dort abgelegten Kennung (10) oder die 
Entschlusselung der dort abgelegten Kennung (10) 
beim Hochfahren des Mikrorechner-Systems (30) 
scheitert. 

10. Verfahren nach einem der Anspruche 1 bis 9, da- 
durch gekennzeichnet, dass in dem Mikrorechner-Sy- 
stem (30) Mechanismen zum Uberpriifen einer Mani- 
pulation der in der Speicheranordnung (32) abgelegten 
Daten (33) deaktiviert werden, falls die Uberpriifung 
der Signatur (15) der in dem Speicherbereich (34) der 
Speicheranordnung (32) abgelegten Kennung (10) oder 
die Entschlusselung der dort abgelegten Kennung (10) 
beim Hochfahren des Mikrorechner-Systems (30) er- 
folgreich ist. 

11. Mikrorechner-System (30) mit einem Rechengerat 
(31), insbesondere einem Mikroprozessor, und einer 
Speicheranordnung (32), in der Daten (33), insbeson- 
dere ein Programm, abgelegt sind, gekennzeichnet 
durch 

eine in einem vorgebbaren Speicherbereich (34) der 
Speicheranordnung (32) signiert oder verschliisselt ab- 
gelegte mikrorechnerindividuelle Kennung (10, 15); 
Mittel zum Uberpriifen der Signatur (15) der Kennung 
(10) bzw. zum Entschliisseln der Kennung (10) bei ei- 
nem Hochfahren des Mikrorechner-Systems (30); und 
Mittel zum Aktiveren oder Deaktivieren zumindest ei- 
nes Teils (35, 36) der in der Speicheranordnung (32) 
des Mikrorechner-Systems (30) abgelegten Daten (33) 
in Abhangigkeit von dem Ergebnis der Uberpriifung 
der Signatur (15) bzw. von der entschliisselten Ken- 
nung (10). 

12. Mikrorechner-System (30) nach Anspruch 11, da- 
durch gekennzeichnet, dass das Mikrorechner-System 
(30) als ein Steuergerat fur ein Kraftfahrzeug zur 
Steuerung und/oder Regelung von Kraftfahrzeugfunk- 
tionen ausgebildet ist. 

13. Mikrorechner-System (30) nach Anspruch 11 oder 
12, dadurch gekennzeichnet, dass das Mikrorechner- 
System (30) Mittel zur Ausfiihrung eines Verfahrens 
nach einem der Anspruche 2 bis 10 aufweist. 

14. Mikrorechner-System (30) nach einem der An- 
spriiche 11 bis 13, dadurch gekennzeichnet, dass in der 
Speicheranordnung (32) ein Computerprogramm abge- 
legt ist, das auf dem Rechengerat (31) ablauffahig und 
zur Ausfiihrung eines Verfahrens nach einem der An- 
spriiche 1 bis 10 geeignet ist. 

15. Mikrorechner-System (30) nach einem der An- 
spriiche 11 bis 14, dadurch gekennzeichnet, dass die 
Speicheranordnung (32) auf dem gleichen Halbleiter- 
bauelement ausgebildet ist wie das Rechengerat (31). 
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